.- diarioabierto.es: En materia de seguridad de la información corporativa, ¿cuáles son los riesgos más importantes que pueden correr las empresas que trabajan con servicios de terceros prestados en la nube?
Israel Zapata Palacio: Existen muchos, pero vamos a centrarnos en dos de los más importantes. El primero es la fuga o robo de información. Hasta ahora las compañías la tenían localizada en sus centros de datos e intentaban poner sistemas para protegerla  y evitar que saliera de la empresa. Al empezar a usar la nube se pierde el control de esa información. De hecho, en muchas ocasiones,  ni siquiera se sabe el país en el que se encuentra, y tampoco se conocen los medios que ponen  estas empresas que dan servicios en la nube para protegerla.

En las noticias podemos ver muy a menudo cómo caen estos servicios en la nube ante ataques de hackers, quienes consiguen acceder a esa información, en muchos casos confidencial, y que luego venden a mafias internacionales. Por eso el mercado de la seguridad se está moviendo hacía la protección y el control de permisos de los documentos, sin importar dónde estén o quién los tenga. Estos sistemas, llamados IRM (Information Rights Management), cifran los documentos de la empresa antes de subirlos a la nube y gestionan que sólo puedan ser vistos por usuarios autorizados, de manera que son inútiles si caen en malas manos. Curiosamente, una de las empresas punteras en estos productos, Sealpath,  es 100% española.

El otro problema de tener servicios en la nube es la suplantación de identidad. Las contraseñas nunca han destacado por ser un forma muy segura de identificarse, pero al menos antes sólo se podían usar si se estaba físicamente dentro de la oficina. Ahora con la nube ya no hay límites físicos, y cualquier puede intentar acceder a datos corporativos haciéndose pasar por nosotros. Tan solo han de conseguir nuestra contraseña (mediante phising) , averiguarla (123456 es la contraseña más usada)  o robarla (recordamos por ejemplo los 2.9 millones de contraseñas robadas a Adobe recientemente). ¿Cómo se pueden defender las empresas? Con sistemas de autenticación fuerte, es decir, que nos identifiquen con al menos dos formas, la contraseña y otro método que puede ser algo que tengamos físicamente como una tarjeta o nuestro móvil. Las últimas tendencias avanzan en incluir para cada identificación un desafío que sólo el usuario pueda resolver, como es el caso del sistema patentado por Swivel.

– diarioabierto.es: ¿Qué consejos le daría usted a las empresas con respecto a las indicaciones que éstas deberían dar a sus trabajadores con el fin de que el fenómeno BYOD no suponga una amenaza para la compañía?
I. Z. P.: Las indicaciones a los trabajadores no restan amenazas a la seguridad de la empresa, hay que asegurarse de que cumplen con esas indicaciones. Actualmente ha de existir un sistema de control de estos dispositivos móviles personales que se usan para el trabajo. Se ha de ser capaz de diferenciar información personal de la corporativa, se han de establecer unos requisitos de seguridad mínimos en el dispositivo (contraseña de acceso, no estar pirateado…) y se tiene que poder borrar, remotamente al menos, la información de la empresa si el dispositivo se pierde, es robado o simplemente si el empleado deja la empresa. Para todo esto, ya hay muchos sistemas en el mercado para el denominado MDM (Mobile Device Management) que son capaces de controlar totalmente los datos de los dispositivos móviles.

.- diarioabierto.es: Muchas empresas se preguntan qué les podría costar un servicio de consultoría de seguridad, una auditoría o tecnología ad hoc para lograr que su información esté a salvo. ¿Podría facilitar algunos ejemplos del precio de estos servicios?
I. Z. P.: Las grandes empresas y las multinacionales ya saben perfectamente el coste que tiene la seguridad -y también el de no dedicar presupuesto a la seguridad-, y en este caso hablamos de millones de euros invertidos anualmente. Para las pymes no se puede dar una cifra fija en estos casos, ya que existen productos que van desde 1.000 euros a 100.000 euros, dependiendo del tamaño de la empresa o del tipo de producto. El mayor problema para las pymes no es el coste, sino la falta de concienciación con respecto a la seguridad. Un directivo de una pyme puede dar el visto bueno a la compra de una pantalla plana para la sala de juntas de 5.000 euros, y a su vez rechazar por caro e innecesario la adquisición de un sistema de seguridad de 2.500 euros  que puede ahorrarle muchos problemas.